Kiteworks

Secure File Sharing and Governance Platfform

Kostenlos testen KITEWORKS ERKUNDEN
Home > Sicherheits- und Compliance-Blog > Unkategorisiert > Synack 2026 Bericht: Das Exploit-Fenster verkürzt sich auf wenige Stunden

Synack 2026 Bericht: Das Exploit-Fenster verkürzt sich auf wenige Stunden

von Patrick Spencer updated Mai 29, 2026 Cybersecurity-Risikomanagement
Lesezeit: 8 Minuten

Am 14. Mai 2026 veröffentlichte Synack seinen State of Vulnerabilities Report 2026, eine Analyse von mehr als 11.000 ausnutzbaren Schwachstellen, die 2025 in Kundenumgebungen identifiziert wurden. Die zentrale Erkenntnis laut Help Net Security: „KI verkürzt das Zeitfenster für die Ausnutzung von Schwachstellen auf wenige Stunden.“

Drei nebeneinanderstehende Erkenntnisse erzählen die Geschichte. 2025 wurden 48.244 veröffentlichte CVEs registriert – ein Anstieg von 20 % gegenüber dem Vorjahr. Jede Triage-Queue verarbeitet mehr Rohdaten als im Jahr zuvor. Das Gesamtvolumen der Schwachstellen in getesteten Umgebungen blieb weitgehend stabil, aber die Verteilung hat sich verschoben: Hochkritische Schwachstellen stiegen um 10 %, Remote Code Execution um 39 %, Brute-Force-Angriffe um 17,4 % und Content Injection um 8 %. Schwachstellen mit niedriger und mittlerer Kritikalität gingen zurück. KI- und LLM-Sicherheitsprüfungen auf der Synack-Plattform stiegen um 120 % gegenüber dem Vorjahr – ein Bereich, der vor drei Jahren noch keine Rolle spielte, ist heute dort, wo Unternehmen mit Angriffen rechnen.

5 Wichtige Erkenntnisse

1. Das Ausnutzungsfenster beträgt nur noch Stunden.

Der State of Vulnerabilities Report 2026 von Synack zeigt: KI-gestützte Angreifer nutzen neu offengelegte Schwachstellen innerhalb von Stunden nach der Veröffentlichung aus – nicht mehr erst nach Wochen, wie noch 2022. Das ist ein struktureller Wandel, keine bloße Beschleunigung. Die Annahme, dass Verteidiger nach Offenlegung noch Tage bis zur Waffnung Zeit haben, gilt nicht mehr. Jeder Incident-Response-Plan, der darauf basiert, arbeitet mit einem falschen Zeitrahmen.

2. Die durchschnittliche MTTR sank von 63 auf 38 Tage – und reicht dennoch nicht aus.

Die durchschnittliche Behebungszeit sank 2025 um 47 %. Bei hochkritischen Schwachstellen verbesserte sich die Behebung um 42 Tage, bei kritischen um 25 Tage. Verteidiger werden messbar schneller. Dennoch verlieren sie das Rennen gegen die Angreifer. Die Ausnutzung beginnt in Stunden; Patches kommen erst nach Tagen oder Wochen. In dieser Lücke passieren Datenpannen – und diese Lücke wird größer, da Angreifer-Tools immer schneller werden.

3. Hochkritische Schwachstellen stiegen um 10 %, während das Gesamtvolumen stabil blieb.

Die Verteilung verschlechtert sich trotz stabiler Gesamtzahlen. Remote Code Execution stieg um 39 %, Brute Force um 17,4 % und Content Injection um 8 %. Schwachstellen mit niedriger und mittlerer Kritikalität gingen tatsächlich zurück – was in der Triage-Queue bleibt, wird von Angreifern genutzt. Auch der Nenner wuchs: 2025 wurden 48.244 CVEs veröffentlicht, ein Anstieg von 20 % gegenüber dem Vorjahr. Mehr Input, schlechtere Verteilung, schnellere Ausnutzung.

4. KI- und LLM-Sicherheitsprüfungen auf Synack stiegen um 120 % gegenüber dem Vorjahr.

Ein Testbereich, der vor drei Jahren kaum existierte, gehört heute zu den am schnellsten wachsenden Investitionsfeldern im Pentesting. Unternehmen investieren dort, wo sie die nächsten Angriffe erwarten. KI-Governance und Kontrollen auf Datenebene sind keine optionalen Verbesserungen – sie sind die Kontrollen, die durch diesen Test-Boom validiert werden.

5. Patch-Geschwindigkeit reicht strukturell nicht aus. Architektur ist die Antwort.

Wenn Ausnutzung in Stunden beginnt und Patches erst nach Wochen eintreffen, lautet die strategische Frage nicht, wie man schneller patcht. Es geht darum, das Patch-Fenster überlebbar zu machen, wenn Prävention versagt. Log4Shell mit CVSS 10 hatte in Umgebungen mit eingebettetem WAF, Intrusion Detection, gehärteter Isolation und Single-Tenant-Trennung effektiv nur die Auswirkung eines CVSS 4. Dieser architektonische Vorteil ist kein Luxus mehr – sondern Grundvoraussetzung für jeden Datenbewegungskanal, der regulierte Inhalte verarbeitet.

Sie Vertrauen auf die Sicherheit Ihres Unternehmens. Aber Können Sie es Nachweisen?

Jetzt lesen

Wie schnell sind „Stunden“? Die konkreten Zahlen

Die durchschnittliche Behebungszeit lag 2025 bei 38 Tagen, nach 63 Tagen im Jahr 2024. Hochkritische Schwachstellen wurden 42 Tage schneller behoben als im Vorjahr, kritische 25 Tage schneller. Das sind echte Fortschritte – doch der Zeitplan der Angreifer ist noch schneller. Dr. Mark Kuhr, CTO von Synack, bringt es auf den Punkt: „Angreifer können Schwachstellen in immer kürzeren Zeitfenstern identifizieren und ausnutzen.“ Die höfliche Version einer härteren Wahrheit: Selbst wenn Verteidiger das Patch-Rennen gewinnen, ist das Rennen selbst nicht mehr entscheidend.

React2Shell: Das Muster in der Praxis

Synack nennt React2Shell – CVE-2025-55182, CVSS 10.0 – als Paradebeispiel. Die Schwachstelle wurde am 3. Dezember 2025 offengelegt: Unsichere Deserialisierung in React Server Components betrifft React 19.0+ einschließlich Next.js. Nicht authentifizierte Angreifer konnten über bösartige HTTP-Anfragen beliebigen Code ausführen.

Wenige Stunden nach der Offenlegung beobachtete Amazons Threat Intelligence aktive Ausnutzung durch mehrere China-nahe Gruppen. Minuten nach der Bereitstellung von Honeypots durch Darktrace begannen opportunistische Angriffe. CISA nahm die Schwachstelle zwei Tage später in ihren Known Exploited Vulnerabilities Catalog auf. Bis Februar 2026 tauchten KI-generierte Malware-Varianten auf, die React2Shell ausnutzten – Angreifer ohne Programmierkenntnisse erstellten funktionierende Exploits mithilfe großer Sprachmodelle und kompromittierten 91 Hosts. Die Patches existierten. Für die in den ersten 72 Stunden betroffenen Unternehmen spielte das keine Rolle.

Die Mandiant-Daten bestätigen die Geschichte von der anderen Seite

Mandiants M-Trends 2026 – basierend auf über 500.000 Stunden Incident-Response-Ermittlungen – dokumentieren einen parallelen Zusammenbruch nach der Ausnutzung. 2022 lag die mittlere Zeit zwischen dem ersten Zugriff eines Angreifers und der Übergabe an eine zweite Bedrohungsgruppe bei über 8 Stunden. 2025 schrumpfte dieses Zeitfenster auf 22 Sekunden.

22 Sekunden sind kein Reaktionsfenster für das SOC. Das ist die Zeit zwischen dem Auslösen eines Alarms und dem Moment, in dem ein Tier-1-Analyst die Überschrift gelesen hat. Exploits blieben das häufigste Einfallstor für Infektionen – zum sechsten Mal in Folge, mit 32 % aller Vorfälle. Vishing stieg auf Platz zwei mit 11 % und verdrängte E-Mail-Phishing auf nur noch 6 %. Synack und Mandiant zusammen zeigen: Der Angriff startet in Stunden, verbreitet sich in 22 Sekunden und entfaltet Wirkung schneller, als die meisten Sicherheitsarchitekturen darauf ausgelegt sind.

Warum „Schneller Patchen“ keine Strategie ist

Zwei Jahrzehnte lang lautete das Dogma im Schwachstellenmanagement: schneller erkennen, schneller patchen, schneller eindämmen. Bessere SIEM-, SOAR-, EDR- und Schwachstellenmanagement-Tools. Jede Generation von Abwehrtechnologien beschleunigte denselben Lebenszyklus, in dem sich auch die Angreifer bewegten.

Die Daten von Synack und Mandiant zeigen: Die Angreifer haben diesen Lebenszyklus verlassen. KI-gestützte Aufklärung, automatisierte Exploit-Generierung, vorinstallierte sekundäre Infrastruktur, KI-generierte Malware-Varianten von Anwendern ohne Programmierkenntnisse – das sind keine Optimierungen des alten Angriffsmodells, sondern ein neues. Jedes Unternehmen wird in den nächsten zwölf Monaten irgendwann eine bekannte, ausnutzbare Schwachstelle in der Produktion haben, weil Patch-Deployment nicht mit der Geschwindigkeit von Offenlegung bis Ausnutzung mithalten kann. Nicht, weil Sicherheitsteams nachlässig sind. Sondern weil die Mathematik nicht mehr aufgeht.

Was das Patch-Velocity-Dogma ablöst

Die architektonische Alternative ist eine Defense-in-Depth-Sicherheitslösung, die auch erfolgreiche Exploits übersteht. Als Log4Shell im Dezember 2021 mit CVSS 10 einschlug, lag die tatsächliche Auswirkung in Kiteworks-Umgebungen bei CVSS 4 – nicht, weil Kunden schneller patchten, sondern weil eingebettetes WAF, Intrusion Detection, gehärtete virtuelle Appliance-Isolation und Single-Tenant-Trennung die Wirkung einer CVSS-10-Schwachstelle in der Praxis verändern. Die Kiteworks Prognose 2026 beschreibt dies als Anforderung für Supply-Chain-Security – die Modernisierung der Datenbewegungstechnologie ist keine optionale Verbesserung.

Was ändert sich mit Defense-in-Depth-Architektur, wenn eine React2Shell-ähnliche Schwachstelle bekannt wird? In einer Standardumgebung mit geteilten Ressourcen: nahezu sofortige Kompromittierung, mit einer Verweildauer entsprechend der durchschnittlichen Behebungszeit von 38 Tagen. In einer Defense-in-Depth-Umgebung mit gehärteter Isolation und Single-Tenant-Trennung: Das eingebettete WAF, Netzwerk-Kontrollen und Intrusion Detection sorgen für Eindämmung über den Application Stack hinaus. Laterale Bewegungen werden strukturell begrenzt. Die Bedingungen für eine erfolgreiche Ausnutzung der sensibelsten Datenflüsse existieren nicht – selbst wenn die Schwachstelle noch vorhanden ist. Genau diesen architektonischen Vorteil macht das neue Bedrohungstempo erforderlich.

Welche Sektoren sind am stärksten betroffen

Fertigung, Technologie und Behörden verzeichneten 2025 den größten Anteil an kritischen und hochkritischen Schwachstellen. Die Fertigung zeigte das stärkste Wachstum bei der Anzahl der Assets. Die Technologiebranche hatte den größten Anteil an kritischen SQL-Injection-Funden, gefolgt von Finanzdienstleistern. Kritische RCE-Funde verteilten sich gleichmäßiger über die Sektoren.

Das Muster ist sektorenunabhängig, aber kanalabhängig. Jeder Sektor, der sensible Datenbewegungen verarbeitet – PHI nach HIPAA, CUI nach CMMC, Zahlungsdaten nach PCI DSS oder personenbezogene Daten nach staatlichen Datenschutzgesetzen – ist gleichermaßen strukturell exponiert. Die Datenbewegungskanäle sind dort, wo die Folgen am schwersten wiegen, wenn das Patch-Fenster gleichbedeutend mit dem Breach-Fenster ist.

Was Unternehmen jetzt tun sollten

Erstens: Das Zusammenbrechen des Ausnutzungsfensters als strukturelle Bedingung anerkennen. Die Architekturfrage ist die strategische Frage. Patch-SLA-Geschwindigkeit erfasst nur eine Dimension des Problems.

Zweitens: Erfassen, welche Datenbewegungskanäle Ihre sensibelsten Inhalte transportieren – regulierte Dokumente, Partnerkommunikation, Anhänge mit PHI oder CUI. Identifizieren Sie, was über welche Kanäle läuft und was dort nicht hingehört.

Drittens: Ergänzen Sie Ihr Sicherheitsprogramm um Resilienzmetriken für die Architektur. Durchschnittliche Eindämmungszeit eines erfolgreichen Exploits, Blast-Radius-Bewertung, Defense-in-Depth-Layer-Anzahl für kritische Datenbewegungskanäle – diese Kennzahlen zeigen, was zählt, wenn Prävention versagt.

Viertens: Prüfen Sie die Konsolidierung sensibler Datenbewegungen auf gehärtete Plattformen. Unternehmen, die sensible Datenbewegungen auf eine einzige gehärtete Plattform konsolidieren, reduzieren sowohl das Patch-Risiko als auch den Aufwand für Audit-Vorbereitungen. Die Kiteworks Prognose 2026 dokumentiert dies als Maßnahme zur sofortigen Risikoreduzierung.

Fünftens: Bauen Sie KI-bewusste Governance auf, bevor die nächste React2Shell-ähnliche KI-Offenlegung kommt. Der Test-Boom bei Synack zeigt, wo die nächste Ausnutzungswelle einschlägt. Governance-Rahmenwerke für KI-Agents, die auf sensible Daten zugreifen, müssen vor den Offenlegungen existieren – nicht erst danach. Das Kiteworks AI Data Gateway und der Secure MCP Server setzen Datenebenen-Richtlinien unabhängig davon durch, welches Modell oder Framework als nächstes betroffen ist.

Der Synack-Report 2026 sagt nicht, dass Verteidiger versagen. Er sagt, sie sind erfolgreich – aber die Spielregeln haben sich geändert. Patch-Geschwindigkeit verschafft Zeit. Architektur verschafft Ergebnisse.

Erfahren Sie mehr darüber, wie Sie Ihre sensiblen Daten vor ausnutzbaren Schwachstellen schützen – vereinbaren Sie noch heute eine individuelle Demo.

Häufig gestellte Fragen

KI-gestützte Angreifer nutzen neu offengelegte Schwachstellen innerhalb von Stunden nach Veröffentlichung aus. Synack analysierte 2025 über 11.000 ausnutzbare Schwachstellen – veröffentlichte CVEs stiegen auf 48.244 (+20 %), hochkritische Funde um 10 % und KI/LLM-Sicherheitsprüfungen um 120 %. Die durchschnittliche MTTR sank von 63 auf 38 Tage – immer noch zu langsam, wenn Ausnutzung in Stunden beginnt.

React2Shell (CVE-2025-55182, CVSS 10.0) ist eine unsichere Deserialisierungs-Schwachstelle in React Server Components, die nicht authentifizierte Remote Code Execution ermöglicht. Bereits wenige Stunden nach der Offenlegung am 3. Dezember 2025 begannen China-nahe Gruppen mit der aktiven Ausnutzung. Bis Februar 2026 kompromittierten KI-generierte Malware-Varianten Hosts. Es ist Synacks Paradebeispiel für das neue Ausnutzungstempo – Patches existierten, waren aber für die in den ersten 72 Stunden betroffenen Unternehmen nicht ausreichend.

Erfüllen Sie weiterhin Ihre SLA-Verpflichtungen und bauen Sie gleichzeitig kompensierende Kontrollen auf – Defense-in-Depth-Architektur, Blast-Radius-Eindämmung und revisionssichere Audit-Trails für sensible Datenzugriffe. Aufsichtsbehörden erwarten zunehmend diese architektonische Haltung zusätzlich zur Patch-Compliance. Unternehmen, die sensible Datenbewegungen auf eine einzige gehärtete Plattform konsolidieren, reduzieren sowohl das Patch-Risiko als auch den Audit-Vorbereitungsaufwand.

Beide dokumentieren denselben strukturellen Wandel – aus unterschiedlichen Blickwinkeln. Synack zeigt Ausnutzung in Stunden, Mandiant die Übergabe an sekundäre Angreifer in 22 Sekunden. Zusammen beschreiben sie einen Angriffszyklus, der in das Zeitfenster passt, das die meisten Unternehmen für die Eskalation eines Alarms benötigen. Die strategische Konsequenz: Abwehrstrategien, die allein auf Patch-Geschwindigkeit setzen, reichen strukturell nicht mehr aus.

Die HIPAA-Benachrichtigungspflicht greift immer, wenn PHI unbefugt abgerufen wird – unabhängig davon, ob der Vorfall in Stunden oder Wochen geschieht. Mit Ausnutzungsfenstern von nur Stunden sind rein präventive HIPAA-Programme nun Vorfällen ausgesetzt, die abgeschlossen sind, bevor die Behebung beginnt. Die Konsolidierung von PHI-Flows auf gehärtete Defense-in-Depth-Plattformen reduziert sowohl die Vorfallwahrscheinlichkeit als auch die daraus resultierenden Meldepflichten.

Ja. CMMC Level 2 verlangt den nachweisbaren Schutz von CUI über alle Übertragungskanäle hinweg. Mit Ausnutzungsfenstern von nur Stunden müssen Zugriffskontrollen und Systemschutz durch architektonische Kontrollen ergänzt werden, die Blast-Radius-Eindämmung nachweisen, wenn Prävention versagt. Audit and Accountability (AU) und System and Information Integrity (SI) sind die Nachweise, die Prüfer in der neuen Bedrohungslandschaft verstärkt erwarten.

KI/LLM-Testmissionen auf Synack stiegen um 120 % – ein Indikator, wo die nächste Ausnutzungswelle einschlägt. Unternehmen, die KI-Agents auf regulierten Daten einsetzen, benötigen Governance-Rahmenwerke, bevor die nächste KI-spezifische React2Shell-Offenlegung kommt. Das AI Data Gateway und der Secure MCP Server setzen Datenebenen-Richtlinien unabhängig davon durch, welches KI-Modell oder Framework als nächstes betroffen ist – die einzige Architektur, die Framework-Level-CVEs übersteht.

Drei Zahlen: 48.244 veröffentlichte CVEs in 2025, Ausnutzungsfenster jetzt Stunden, Übergabe an sekundäre Angreifer in 22 Sekunden (Mandiant). Dann die Architekturfrage: Welche unserer Datenbewegungskanäle überstehen einen erfolgreichen Exploit – und welche nicht? Die Vorstandsdebatte dreht sich nicht um mehr Patching, sondern darum, wo das Patch-Fenster strukturell überlebbar ist. Gartner prognostiziert, dass bis 2028 50 % der Unternehmen auf zero-trust Daten-Governance setzen werden; die Synack-Erkenntnisse sprechen dafür, diesen Zeitplan zu beschleunigen.

Weitere Ressourcen

  • Blogbeitrag So schützen Sie Studiendaten in der internationalen Forschung
  • Blogbeitrag Der CLOUD Act und der britische Datenschutz: Warum der Gerichtsstand zählt
  • Blogbeitrag Zero Trust Data Protection: Umsetzungsstrategien für mehr Sicherheit
  • Blogbeitrag Datenschutz durch Technikgestaltung: So integrieren Sie DSGVO-Kontrollen in Ihr MFT-Programm
  • Blogbeitrag So verhindern Sie Datenpannen mit sicherem Filesharing über Grenzen hinweg

Jetzt loslegen.

Es ist einfach, mit Kiteworks die gesetzliche Vorgaben einzuhalten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sicher sind, wie sie vertrauliche Daten zwischen Personen, Maschinen und Systemen austauschen. Beginnen Sie noch heute.

DEMO ANSCHAUEN

Table of Contents

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks